Windows Bitlocker ve otomatik kilit açma şifresi depolama güvenliği


19

Harici HDD'imi bir Bitlocker ile şifreledim ve bilgisayarı yeniden başlattıktan sonra bu sürücüyü açmaya çalıştım ve şu mesajı aldım:

resim açıklamasını buraya girin

"Bundan sonra bu bilgisayarda otomatik olarak kilidini aç" seçeneğini belirlersem, bu, Windows'un şifremi kayıt defterinde bir yerde saklayacağı anlamına mı geliyor?

PS. Yoksa Microsoft'ta yalnızca karma hasarı depolayacak kadar zeki mi - tercihen tuzlu mu?

Yanıtlar:


24

Aynı sorguyu burada ve burada yayınladığınızı ve zaten bir çeşit standart yanıt aldığını görüyorum . Her neyse, bu ilginç bir soru ve işte bulduğum şey. As Windows 7'de BitLocker Sürücü Şifreleme: Sık Sorular Sorular , sayfa durumlarını

Sabit veri sürücülerinin otomatik olarak açılması için işletim sistemi sürücüsünün BitLocker tarafından da korunması gerekir. BitLocker korumalı işletim sistemi sürücüsü olmayan bir bilgisayar kullanıyorsanız, sürücünün kilidi otomatik olarak açılamaz.

Tabii ki, çıkarılabilir veri sürücülerini şifrelemek için BitLocker To Go kullandığınız için bu sizin için geçerli değildir . Sizin için aşağıdakiler geçerlidir:

Windows 7'de, bir parola veya akıllı kart kullanarak çıkarılabilir veri sürücülerinin kilidini açabilirsiniz. Şifrelemeyi başlattıktan sonra, belirli bir kullanıcı hesabı için sürücünün kilidi belirli bir bilgisayarda otomatik olarak açılabilir . Sistem yöneticileri, kullanıcılar için hangi seçeneklerin kullanılabileceğini, parola karmaşıklığını ve minimum uzunluk gereksinimlerini yapılandırabilir.

Ayrıca,

Çıkarılabilir veri sürücüleri için, Windows Gezgini'nde sürücüyü sağ tıklatıp BitLocker'ı Yönet'i tıklatarak otomatik kilit açma ekleyebilirsiniz. BitLocker'ı açtığınızda, diğer bilgisayarlardaki çıkarılabilir sürücünün kilidini açmak için sağladığınız şifreyi veya akıllı kart kimlik bilgilerini kullanmaya devam edebilirsiniz.

ve

Çıkarılabilir veri sürücüleri, parola veya akıllı kart başlangıçta sürücünün kilidini açmak için kullanıldıktan sonra Windows 7 çalıştıran bir bilgisayarda otomatik olarak açılacak şekilde ayarlanabilir. Ancak, çıkarılabilir veri sürücülerinin otomatik kilit açma yöntemine ek olarak her zaman bir parola veya akıllı kart kilit açma yöntemi olması gerekir.

Artık çıkarılabilir veri sürücüleri için otomatik kilidin nasıl yapılandırılabileceğini ve bu tür sürücülerin diğer bilgisayarlarda nasıl açılabileceğini biliyoruz. Ancak BitLocker'ın kullandığı anahtarlar nelerdir ve nerede saklanırlar? As BitLocker Tuşlar bölümünde BitLocker Sürücü Şifreleme ile korunması veri için Keys makale devletler:

[Birimin] sektörleri, Tam Birim Şifreleme Anahtarı (FVEK) adı verilen bir anahtar kullanılarak şifrelenir . FVEK, yine de, kullanıcılar tarafından kullanılmaz veya kullanıcılar tarafından erişilebilir değildir. FVEK, sırasıyla Ana Ana Anahtar (VMK) adı verilen bir anahtarla şifrelenir. Bu soyutlama düzeyi bazı benzersiz faydalar sağlar, ancak süreci anlamak daha zor olabilir. FVEK, yakın bir şekilde korunan bir sır olarak saklanır, çünkü tehlikeye girecek olursa tüm sektörlerin yeniden şifrelenmesi gerekecektir. Bu zaman alıcı bir işlem olacağından kaçınmak istediğiniz bir işlemdir. Bunun yerine, sistem VMK ile çalışır. FVEK (VMK ile şifrelenmiş), birim meta verilerinin bir parçası olarak diskin kendisinde saklanır. FVEK yerel olarak saklansa da, şifrelenmemiş diske asla yazılmaz. VMK ayrıca bir veya daha fazla olası anahtar koruyucusu tarafından şifrelenir veya "korunur". Varsayılan anahtar koruyucusu TPM'dir.

Böylece VMK yine bir veya daha fazla anahtar koruyucusu tarafından şifrelenir. Bunlar TPM , parola, anahtar dosyası, veri kurtarma aracısı sertifikası, akıllı kart vb. Olabilir . Artık çıkarılabilir bir veri sürücüsü için otomatik kilidini açmayı seçtiğinizde, aşağıdaki otomatik kilit açma kayıt defteri anahtarı oluşturulur:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

Daha sonra "Harici Anahtar" türünde başka bir anahtar koruyucusu bu kayıt defteri konumunda şu şekilde oluşturulur ve depolanır:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

Kayıt defterinde saklanacak anahtar ve meta veriler, CryptProtectData () DPAPI işlevi kullanılarak geçerli kullanıcının oturum açma bilgileri ve Üçlü DES (OTOH ile şifrelenmiş birimdeki gerçek veriler 128 bit veya 256 bit AES ile korunur ve isteğe bağlı olarak Elephant adlı bir algoritma kullanılarak yayılmıştır ).

Harici anahtar yalnızca geçerli kullanıcı hesabı ve makineyle kullanılabilir. Başka bir kullanıcı hesabına veya makineye geçerseniz, FveAutoUnlock GUID değerleri farklıdır.


Araştırmanızı takdir ediyorum dostum! Microsoft forumundan aldığım BS cevabının aksine, cevabınız bana umut veriyor - saklandıktan sonra şifrenin bir metin formuna kolayca geri döndürülemeyeceği. Tekrar teşekkürler ...
ahmd1 7:13

Rica ederim ve cevabı kendim bilmek istedim. Sağlanan güvenlik, verilerinizi çoğu kullanıcının meraklı gözlerinden korumak için yeterli olmalıdır. Tabii ki, gizli bir aracıysanız, verilerinizi güvende tutmak için muhtemelen daha kurşun geçirmez yöntemlere bakmalısınız. Sonra tekrar, eğer bir casus iseniz, kendinizi kurşun geçirmez hale getirme gibi endişelenmeniz gereken daha önemli şeylere sahip olacaksınız . ;-)
Karan

Karan, eğer bir şansın olursa, şu adrese gönderdiğim ServerFault yayınına bakabilir misin: serverfault.com/questions/520356/… . Sorum cevabınızın bir uzantısı gibi görünüyor (çıkarılabilir değil, BitLocker FIXED'in otomatik olarak kilidini açmak için DPAPI kullanarak). Sizin girdileriniz büyük takdir toplayacaktır!
bigmac
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.